Руководство. Настройка синхронизации хэша паролей в качестве резервного копирования для служб федерации Azure Directory

В этом руководстве описаны шаги по настройке синхронизации хэша паролей в качестве резервной копии и резервирования на случай отказа служб федерации Active Directory (AD FS) в Microsoft Entra Connect. В этом руководстве также показано, как настроить синхронизацию хэша паролей в качестве основного метода проверки подлинности, если AD FS завершается сбоем или становится недоступным.

Требования

В этом руководстве основывается на руководстве "Использование федерации для гибридного удостоверения в одном лесу" Active Directory. Выполнение учебника является обязательным условием для выполнения действий, описанных в этом руководстве.

Включение синхронизации хэша паролей в Microsoft Entra Connect

В руководстве по использованию федерации для гибридного удостоверения в одном лесу Active Directory вы создали среду Microsoft Entra Connect, использующую федерацию.

Первым шагом в настройке резервного копирования для федерации является включение синхронизации хэша паролей и настройка Microsoft Entra Connect для синхронизации хэшей:

1. Дважды щелкните значок Microsoft Entra Connect, созданный на рабочем столе во время установки.

2. Выберите Настроить.

3. В разделе "Дополнительные задачи" выберите "Настройка параметров синхронизации" и нажмите кнопку "Далее".

   

4. Введите имя пользователя и пароль для учетной записи администратора гибридной идентификации, созданной в руководстве по настройке федерации.

5. В разделе "Подключение каталогов" нажмите кнопку "Далее".

6. В Фильтрации доменов и организационных единиц выберите «Далее».

7. В дополнительных функциях выберите синхронизацию хэша паролей и нажмите кнопку "Далее".

   

8. На странице Готово к настройке нажмите кнопку Настроить.

9. После завершения настройки нажмите кнопку "Выйти".

Вот и все! Ты все готово. Синхронизация хэша паролей будет происходить, и ее можно использовать в качестве резервной копии, если AD FS становится недоступной.

Переключение на синхронизацию хэша паролей

Затем переключитесь на синхронизацию хэша паролей. Прежде чем начать, рассмотрите условия, в которых следует выполнить переключение. Не используйте переключение для решения временных проблем, например сбоя сети, небольших проблем с AD FS или проблемы, которая влияет на группу пользователей.

Если вы решили перейти на другой метод, поскольку устранение проблемы займет слишком много времени, выполните следующие действия:

1. В Microsoft Entra Connect выберите "Настроить".
2. Выберите Смена имени пользователя для входа и нажмите кнопку Далее.
3. Введите имя пользователя и пароль для учетной записи администратора гибридной идентификации, созданной в руководстве по настройке федерации.
4. В входе пользователя выберите синхронизацию хэша паролей, затем отметьте флажок "Не преобразовывать учетные записи пользователей".
5. Оставьте флажок "Включить единый вход" по умолчанию и нажмите кнопку "Далее".
6. В разделе "Включить единый вход" нажмите кнопку "Далее".
7. На странице Готово к настройке нажмите кнопку Настроить.
8. После завершения настройки нажмите кнопку "Выйти".

Теперь пользователи могут использовать пароли для входа в Azure и служб Azure.

Вход с помощью учетной записи пользователя для тестирования синхронизации

1. В новом окне веб-браузера перейдите в раздел https://myapps.microsoft.com.

2. Войдите с помощью учетной записи пользователя, созданной в новом клиенте.

   Для имени пользователя используйте формат user@domain.onmicrosoft.com. Используйте тот же пароль, который пользователь использует для входа в локальную службу Active Directory.

   

Переключение обратно на федерацию

Теперь переключитесь в режим федерации.

1. В Microsoft Entra Connect выберите "Настроить".

2. Выберите Смена имени пользователя для входа и нажмите кнопку Далее.

3. Введите имя пользователя и пароль для учетной записи администратора гибридной идентификации.

4. В разделе Вход пользователя выберите Федерация с AD FS, а затем выберите Далее.

5. В учетных данных администратора домена введите имя пользователя и пароль contoso\Administrator, а затем нажмите кнопку "Далее".

6. В ферме AD FS выберите Далее.

7. В домене Microsoft Entra выберите домен и нажмите кнопку "Далее".

8. На странице Готово к настройке нажмите кнопку Настроить.

9. После завершения настройки нажмите кнопку "Далее".

   

10. В разделе Проверка подключения федерации выберите Проверить. Возможно, потребуется настроить записи DNS (добавить записи A и AAAA) для успешной проверки.

    

11. Щелкните Выход.

Сбросьте доверительные отношения между AD FS и Azure

Последняя задача — сбросить доверие между AD FS и Azure:

1. В Microsoft Entra Connect выберите "Настроить".

2. Выберите " Управление федерацией" и нажмите кнопку "Далее".

3. Выберите Сброс доверия Microsoft Entra ID, а затем нажмите Далее.

   

4. В Подключении к Microsoft Entra ID введите имя пользователя и пароль для вашей учетной записи администратора гибридной идентичности.

5. В разделе "Подключение к AD FS" введите имя пользователя и пароль contoso\Administrator, а затем нажмите кнопку "Далее".

6. В сертификатах нажмите кнопку "Далее".

7. Повторите действия, описанные в разделе "Вход с помощью учетной записи пользователя" для проверки синхронизации.

Вы успешно настроили среду гибридных удостоверений, которую можно использовать для тестирования и ознакомления с тем, что предлагает Azure.

Следующие шаги

• Просмотрите оборудование и предварительные требования Microsoft Entra Connect.
• Узнайте, как использовать параметры Express в Microsoft Entra Connect.
• Узнайте больше о синхронизации хеша паролей с Microsoft Entra Connect.